Después de que un investigador de seguridad publicara fallos no parcheados en productos de Microsoft, con código de explotación incluido, la empresa respondió no arreglándolos, sino amenazando con llamar a la policía. La velada amenaza legal de Microsoft ha reavivado el largo debate sobre si los investigadores de seguridad le deben algo a gigantes tecnológicos de un billón de dólares que no se molestan en parchear su propio software.

El miércoles, Microsoft publicó una entrada de blog criticando al investigador conocido como "Nightmare Eclipse" por divulgar públicamente una serie de fallos con nombres como BlueHammer, RedSun UnDefend y YellowKey, que suenan menos a vulnerabilidades de seguridad y más a villanos rechazados de Power Rangers. Los fallos afectaban a productos como el motor antivirus integrado de Windows, Defender, y la herramienta de cifrado de discos BitLocker.

La queja principal de Microsoft es que el investigador no reportó los fallos en privado para que la empresa pudiera arreglarlos primero. Eso habría sido lo "responsable", según Microsoft. La compañía también argumenta que publicar detalles de explotación antes de que hubiera un parche pudo haber ayudado a hackers maliciosos, y de hecho, algunas de las vulnerabilidades se han utilizado en ataques reales, según Microsoft y la agencia de ciberseguridad de EE.UU., CISA.

"Nuestra Unidad de Delitos Digitales continuará presentando casos contra estos actores y aquellos que facilitan su actividad criminal, coordinando según sea necesario con las fuerzas del orden en todo el mundo", escribió Microsoft. La misión de la Unidad de Delitos Digitales, según su sitio web, incluye "acciones legales civiles, contramedidas técnicas, derivaciones penales y asociaciones público-privadas". Así que, básicamente, son la versión corporativa de llamar a tu papá porque alguien te fue grosero.

En una serie de blogs publicados en las últimas dos semanas, Nightmare Eclipse afirmó que había estado en contacto con Microsoft pero que supuestamente fue maltratado, incluyendo la revocación de su cuenta del Centro de Respuesta de Seguridad de Microsoft. Su implicación era que no tenían más opción que publicar las vulnerabilidades públicamente, convirtiéndolas efectivamente en zero-days: fallos de seguridad desconocidos para el fabricante del software afectado en el momento de la divulgación.

El investigador publicó los fallos en GitHub y GitLab, plataformas donde sus cuentas han sido suspendidas desde entonces. Ni Nightmare Eclipse ni Microsoft respondieron a las solicitudes de comentarios.

Esta disputa pública revive un debate aún controvertido: ¿Tienen los investigadores de seguridad independientes el deber de asegurarse de que las vulnerabilidades que encuentran se arreglen? ¿Y hasta dónde deben llegar para asegurarse de que las empresas cuyos productos son vulnerables realmente las arreglen?

Una parte de este debate está resuelta: los investigadores merecen que se les pague. Tomó años de lucha, capturada en parte por la campaña de 2009 "No More Free Bugs", pero casi 20 años después, la mayoría de las empresas pagan recompensas por errores que pueden alcanzar seis cifras o más por divulgaciones privadas.

En respuesta a esta última controversia, innumerables investigadores han compartido sus malas experiencias reportando fallos a Microsoft. La comunidad de ciberseguridad está vocalmente descontenta. Esto incluye a Katie Moussouris, fundadora de Luta Security, quien mientras trabajaba en Microsoft a mediados y finales de la década de 2000 fue pionera en las recompensas por errores y convenció a la empresa de adoptar la "divulgación coordinada" en lugar de la "divulgación responsable".

"Invocar el término 'divulgación responsable' fue el primer golpe en mi libro", dijo Moussouris a TechCrunch. "Agregar una amenaza de enjuiciamiento mencionando a la [Unidad de Delitos Digitales] fue excesivo, y solo resultará en que los investigadores de seguridad desconfíen de Microsoft". Advirtió que perder la confianza de los investigadores podría crear un efecto escalofriante, haciendo "que sea menos seguro para todos nosotros".

El investigador de seguridad y ex empleado de Microsoft Kevin Beaumont también criticó a la empresa, calificando su posición como un "vertedero de fuego hecho por sí mismo". "¿La creación y distribución de pruebas de concepto de explotación para zero-days es ahora 'actividad criminal'?", escribió Beaumont. "La divulgación responsable es bastante..."